Der Patch Tuesday im Februar wurde wegen eines schwerwiegenden Fehlers verschoben, jedoch wollte Microsoft nicht mitteilen, um welchen es sich dabei handelt, wohl auch, um Gefahren von den Nutzern abzuwenden. Erst am 14. März gibt es wieder Sicherheitsupdates für Windows 10, in der Zwischenzeit ist die Gefahr vor Angriffen etwas größer.
Zwei Bugs sind der Öffentlichkeit bereits bekannt, einerseits eine offene Sicherheitslücke in Flash für Microsoft Edge, andererseits der SMB-Bug. Beide Fehler sind nicht leicht auszunutzen, vor allem, da letzterer einen direkten Zugang zur Maschine erfordert. Googles ProjectZero, eine spezielle Abteilung auf der Suche nach Sicherheitslücken in fremder Software, hat gestern erneut eine Sicherheitslücke öffentlich gemacht sowie auch eine Beweisführung präsentiert, die als Anleitung verstanden werden kann.
Erstes Update behob Problem nicht
Google hat die Sicherheitslücke am 9. Juni 2016 zum ersten Mal an Microsoft berichtet und kurz danach wurde ein Update für die gdi32.dll-Datei veröffentlicht. Microsoft war davon ausgegangen, dass das Problem damit gelöst sei und Google auch. Als man im November 2016 nochmal nachprüfte, stellte man fest, dass der Fehler für die meisten, aber nicht alle Anwendungen gelöst werden konnte und man reichte erneut den Fehler ein. Microsoft hat seitdem kein Update mehr veröffentlicht und daher hat Google die Sicherheitslücke im eigenen Blog der Öffentlichkeit präsentiert. Dass diese Veröffentlichung ausgerechnet kurz nach Absage eines Patchdays kommt, dürfte reiner Zufall sein.
Auch bei diesem Bug wird allerdings direkter Zugriff auf die Maschine benötigt, um den Fehler auszunutzen, sodass sich Windows-User, die ihre Maschine nicht ausleihen, keine Sorgen machen müssen. Es bleibt dennoch zu hoffen, dass Microsoft mit dem kommenden Patch Tuesday auch dieses Problem behebt.
Quelle: Google
Google kann sich fein auf den Linux Kernel und open source entwickler verlassen. Und zeigt derweil mit dem Finger auf die Konkurrenz.
Na bloß gut, dass Android so sicher ist. So kann man sich mit anderen Betriebssystemen befassen.
😀
+830
Eigentlich könnte das MS bei Google auch machen – aber halt, da wären sie ja nicht mal in einem Jahr fertig mit der Auflistung der Lücken. 🙂
Man sollte leiber vor seiner eigenen Haustüre kehren, zwar sehr nett dass man hinweist, aber so direkt in die Öffentlichkeit zu gehen ist ein No-Go
„direkt“!?
Microsoft hatte 90 tage zeit, das sollte reichen um kritische Sicherheitslücken zu schließen.
Ich finde es keines falls gut das sowas öffentlich gemacht wird, aber MS hätt wirklich genug Zeit.
So ist es. 90 Tage sind die Regel, und wer bis dahin eine Sicherheitslücke nicht geschlossen hat, muss damit rechnen, dass sie öffentlich gemacht wird.
Und mal ehrlich: klar ist Android eine einzige Sicherheitslücke, aber wer will da noch eine Lücke finden, geschweige denn veröffentlichen? Irgendwie clever…
Achte auf deinen letzten Abschnitt. Wer im Glashaus sitzt werfe den ersten stein…
Ausgerechnet google mit seinem androidenmüll muss rumschreien ..
Google u. Zufall, wann man Fehler in fremder Software veröffentlicht u. auch noch mit Anleitung, wie üblich? Das ich nicht lache… Die Herrschaften sollten erstmal Android sicher gestalten u. die Fragmentierung auf der Vielzahl der Geräte beseitigen… Quasi eigene Hausaufgaben machen… Nichts desto trotz… diese Aufdeckung ist wertvoll u. richtig! Aber dennoch bleibt ein Beigeschmack… Grüße aus Cottbus!